收藏
下载资源

计算机系统安全原理与技术第9章计算机系统安全风险评估.ppt

上传人:壹****1 文档编号:568738350 上传时间:2024-07-26 格式:PPT 页数:24 大小:236KB
返回 下载 相关 举报
计算机系统安全原理与技术第9章计算机系统安全风险评估.ppt_第1页
第1页 / 共24页
计算机系统安全原理与技术第9章计算机系统安全风险评估.ppt_第2页
第2页 / 共24页
计算机系统安全原理与技术第9章计算机系统安全风险评估.ppt_第3页
第3页 / 共24页
计算机系统安全原理与技术第9章计算机系统安全风险评估.ppt_第4页
第4页 / 共24页
计算机系统安全原理与技术第9章计算机系统安全风险评估.ppt_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《计算机系统安全原理与技术第9章计算机系统安全风险评估.ppt》由会员分享,可在线阅读,更多相关《计算机系统安全原理与技术第9章计算机系统安全风险评估.ppt(24页珍藏版)》请在金锄头文库上搜索。

1、第第9章章 计算机系统安全风险评估计算机系统安全风险评估7/26/20241计算机系统安全原理与技术(第2版)本章主要内容本章主要内容9.1 9.1 计算机系统安全风险评估的目的和意义计算机系统安全风险评估的目的和意义计算机系统安全风险评估的目的和意义计算机系统安全风险评估的目的和意义 9.2 9.2 安全风险评估途径安全风险评估途径安全风险评估途径安全风险评估途径 9.3 9.3 安全风险评估基本方法安全风险评估基本方法安全风险评估基本方法安全风险评估基本方法 9.4 9.4 安全风险评估工具安全风险评估工具安全风险评估工具安全风险评估工具 9.5 9.5 安全风险评估的依据和过程安全风险评

2、估的依据和过程安全风险评估的依据和过程安全风险评估的依据和过程 9.6 9.6 信息系统安全风险评估实例信息系统安全风险评估实例信息系统安全风险评估实例信息系统安全风险评估实例7/26/20242计算机系统安全原理与技术(第2版)9.1计算机系统安全风险评估的目的和意义计算机系统安全风险评估的目的和意义1.1.安全风险评估是安全风险评估是安全风险评估是安全风险评估是科学分析并确定风险的过程科学分析并确定风险的过程科学分析并确定风险的过程科学分析并确定风险的过程信息安全风险评估信息安全风险评估信息安全风险评估信息安全风险评估:就是从风险管理的角度,运用科学的方法和手:就是从风险管理的角度,运用科

3、学的方法和手:就是从风险管理的角度,运用科学的方法和手:就是从风险管理的角度,运用科学的方法和手段,系统地段,系统地段,系统地段,系统地分析分析分析分析网络和信息系统所面临的网络和信息系统所面临的网络和信息系统所面临的网络和信息系统所面临的威胁威胁威胁威胁及其存在的及其存在的及其存在的及其存在的脆弱脆弱脆弱脆弱性性性性,评估评估评估评估安全事件一旦发生安全事件一旦发生安全事件一旦发生安全事件一旦发生可能造成的危害程度可能造成的危害程度可能造成的危害程度可能造成的危害程度,提出提出提出提出有针对有针对有针对有针对性的性的性的性的防护对策防护对策防护对策防护对策和和和和整改措施整改措施整改措施整改

4、措施,将风险控制在可接受的水平,最大,将风险控制在可接受的水平,最大,将风险控制在可接受的水平,最大,将风险控制在可接受的水平,最大程度地保障计算机网络信息系统安全提供科学依据程度地保障计算机网络信息系统安全提供科学依据程度地保障计算机网络信息系统安全提供科学依据程度地保障计算机网络信息系统安全提供科学依据. .2. 2. 信息安全风险评估是信息安全风险评估是信息安全风险评估是信息安全风险评估是信息安全建设的起点和基础信息安全建设的起点和基础信息安全建设的起点和基础信息安全建设的起点和基础3. 3. 信息安全风险评估是信息安全风险评估是信息安全风险评估是信息安全风险评估是需求主导和突出重点原则

5、的具体需求主导和突出重点原则的具体需求主导和突出重点原则的具体需求主导和突出重点原则的具体体现体现体现体现4. 4. 重视风险评估是信息化比较发达的国家的重视风险评估是信息化比较发达的国家的重视风险评估是信息化比较发达的国家的重视风险评估是信息化比较发达的国家的基本经验基本经验基本经验基本经验7/26/20243计算机系统安全原理与技术(第2版)9.2 安全风险评估途径安全风险评估途径1.1.基线评估基线评估基线评估基线评估( (Baseline Risk Assessment)Baseline Risk Assessment)2.2.详细评估详细评估详细评估详细评估3.3.组合评估组合评估组

6、合评估组合评估7/26/20244计算机系统安全原理与技术(第2版)9.3 安全风险评估基本方法安全风险评估基本方法1.1.基于知识的评估方法基于知识的评估方法基于知识的评估方法基于知识的评估方法 2.2.基于模型的评估方法基于模型的评估方法基于模型的评估方法基于模型的评估方法3.3.定量评估方法定量评估方法定量评估方法定量评估方法4.4.定性分析方法定性分析方法定性分析方法定性分析方法5.5.定性与定量相结合的综合评估方法定性与定量相结合的综合评估方法定性与定量相结合的综合评估方法定性与定量相结合的综合评估方法7/26/20245计算机系统安全原理与技术(第2版)9.4 安全风险评估工具安全

7、风险评估工具1风险评估与管理工具风险评估与管理工具1 1)基于信息安全标准的风险评估与管理工)基于信息安全标准的风险评估与管理工)基于信息安全标准的风险评估与管理工)基于信息安全标准的风险评估与管理工具。具。具。具。2 2)基于知识的风险评估与管理工具。)基于知识的风险评估与管理工具。)基于知识的风险评估与管理工具。)基于知识的风险评估与管理工具。3 3)基于模型的风险评估与管理工具。)基于模型的风险评估与管理工具。)基于模型的风险评估与管理工具。)基于模型的风险评估与管理工具。7/26/20246计算机系统安全原理与技术(第2版)9.4 安全风险评估工具安全风险评估工具2 2系统基础平台风险

8、评估工具系统基础平台风险评估工具系统基础平台风险评估工具系统基础平台风险评估工具系统基础平台风险评估工具包括脆弱性扫描工系统基础平台风险评估工具包括脆弱性扫描工系统基础平台风险评估工具包括脆弱性扫描工系统基础平台风险评估工具包括脆弱性扫描工具和渗透性测试工具。具和渗透性测试工具。具和渗透性测试工具。具和渗透性测试工具。脆弱性扫描工具主要用于对信息系统的主要部脆弱性扫描工具主要用于对信息系统的主要部脆弱性扫描工具主要用于对信息系统的主要部脆弱性扫描工具主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备等)件(如操作系统、数据库系统、网络设备等)件(如操作系统、数据库系统、网络设备等)

9、件(如操作系统、数据库系统、网络设备等)的脆弱性进行分析,目前常见的脆弱性扫描工的脆弱性进行分析,目前常见的脆弱性扫描工的脆弱性进行分析,目前常见的脆弱性扫描工的脆弱性进行分析,目前常见的脆弱性扫描工具有以下几种类型。具有以下几种类型。具有以下几种类型。具有以下几种类型。1 1)基于网络的扫描器。在网络中运行,能够检测)基于网络的扫描器。在网络中运行,能够检测)基于网络的扫描器。在网络中运行,能够检测)基于网络的扫描器。在网络中运行,能够检测如防火墙错误配置或连接到网络上的易受攻击的网如防火墙错误配置或连接到网络上的易受攻击的网如防火墙错误配置或连接到网络上的易受攻击的网如防火墙错误配置或连接

10、到网络上的易受攻击的网络服务器的关键漏洞。络服务器的关键漏洞。络服务器的关键漏洞。络服务器的关键漏洞。7/26/20247计算机系统安全原理与技术(第2版)9.4 安全风险评估工具安全风险评估工具2 2系统基础平台风险评估工具系统基础平台风险评估工具系统基础平台风险评估工具系统基础平台风险评估工具目前常见的脆弱性扫描工具有以下几种类型。目前常见的脆弱性扫描工具有以下几种类型。目前常见的脆弱性扫描工具有以下几种类型。目前常见的脆弱性扫描工具有以下几种类型。2 2)基于主机的扫描器。发现主机的操作系统、特)基于主机的扫描器。发现主机的操作系统、特)基于主机的扫描器。发现主机的操作系统、特)基于主机

11、的扫描器。发现主机的操作系统、特殊服务和配置的细节,发现潜在的用户行为风险,殊服务和配置的细节,发现潜在的用户行为风险,殊服务和配置的细节,发现潜在的用户行为风险,殊服务和配置的细节,发现潜在的用户行为风险,如密码强度不够,也可实施对文件系统的检查。如密码强度不够,也可实施对文件系统的检查。如密码强度不够,也可实施对文件系统的检查。如密码强度不够,也可实施对文件系统的检查。3 3)分布式网络扫描器。由远程扫描代理、对这些)分布式网络扫描器。由远程扫描代理、对这些)分布式网络扫描器。由远程扫描代理、对这些)分布式网络扫描器。由远程扫描代理、对这些代理的即插即用更新机制、中心管理点三部分构成,代理

12、的即插即用更新机制、中心管理点三部分构成,代理的即插即用更新机制、中心管理点三部分构成,代理的即插即用更新机制、中心管理点三部分构成,用于企业级网络的脆弱性评估,分布和位于不同的用于企业级网络的脆弱性评估,分布和位于不同的用于企业级网络的脆弱性评估,分布和位于不同的用于企业级网络的脆弱性评估,分布和位于不同的位置、城市甚至不同的国家。位置、城市甚至不同的国家。位置、城市甚至不同的国家。位置、城市甚至不同的国家。4 4)数据库脆弱性扫描器。)数据库脆弱性扫描器。)数据库脆弱性扫描器。)数据库脆弱性扫描器。7/26/20248计算机系统安全原理与技术(第2版)9.4 安全风险评估工具安全风险评估工

13、具2 2系统基础平台风险评估工具系统基础平台风险评估工具系统基础平台风险评估工具系统基础平台风险评估工具渗透性测试工具是根据脆弱性扫描工具扫描的渗透性测试工具是根据脆弱性扫描工具扫描的渗透性测试工具是根据脆弱性扫描工具扫描的渗透性测试工具是根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利结果进行模拟攻击测试,判断被非法访问者利结果进行模拟攻击测试,判断被非法访问者利结果进行模拟攻击测试,判断被非法访问者利用的可能性。这类工具通常包括黑客工具、脚用的可能性。这类工具通常包括黑客工具、脚用的可能性。这类工具通常包括黑客工具、脚用的可能性。这类工具通常包括黑客工具、脚本文件。渗透性测

14、试的目的是检测已发现的脆本文件。渗透性测试的目的是检测已发现的脆本文件。渗透性测试的目的是检测已发现的脆本文件。渗透性测试的目的是检测已发现的脆弱性是否真正会给系统或网络带来影响。通常弱性是否真正会给系统或网络带来影响。通常弱性是否真正会给系统或网络带来影响。通常弱性是否真正会给系统或网络带来影响。通常渗透性工具与脆弱性扫描工具一起使用,并可渗透性工具与脆弱性扫描工具一起使用,并可渗透性工具与脆弱性扫描工具一起使用,并可渗透性工具与脆弱性扫描工具一起使用,并可能会对被评估系统的运行带来一定影响。能会对被评估系统的运行带来一定影响。能会对被评估系统的运行带来一定影响。能会对被评估系统的运行带来一

15、定影响。7/26/20249计算机系统安全原理与技术(第2版)9.4 安全风险评估工具安全风险评估工具3 3风险评估辅助工具风险评估辅助工具风险评估辅助工具风险评估辅助工具风险评估需要大量的实践和经验数据的支持,这些数风险评估需要大量的实践和经验数据的支持,这些数风险评估需要大量的实践和经验数据的支持,这些数风险评估需要大量的实践和经验数据的支持,这些数据的积累是风险评估科学性的基础。风险评估辅助工据的积累是风险评估科学性的基础。风险评估辅助工据的积累是风险评估科学性的基础。风险评估辅助工据的积累是风险评估科学性的基础。风险评估辅助工具可以实现对数据的采集、现状分析和趋势分析等单具可以实现对数

16、据的采集、现状分析和趋势分析等单具可以实现对数据的采集、现状分析和趋势分析等单具可以实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值、定级提供依据。项功能,为风险评估各要素的赋值、定级提供依据。项功能,为风险评估各要素的赋值、定级提供依据。项功能,为风险评估各要素的赋值、定级提供依据。常用的辅助工具有:常用的辅助工具有:常用的辅助工具有:常用的辅助工具有:检查列表。检查列表。检查列表。检查列表。入侵检测系统。入侵检测系统。入侵检测系统。入侵检测系统。安全审计工具。安全审计工具。安全审计工具。安全审计工具。拓扑发现工具。拓扑发现工具。拓扑发现工具。拓扑发现工具。资产信息收集

17、系统。资产信息收集系统。资产信息收集系统。资产信息收集系统。其他。其他。其他。其他。7/26/202410计算机系统安全原理与技术(第2版)9.4 安全风险评估工具安全风险评估工具一些专用的自动化的风险评估工具一些专用的自动化的风险评估工具一些专用的自动化的风险评估工具一些专用的自动化的风险评估工具COBRACOBRACRAMMCRAMMASSETASSETCORACORACC toolsCC tools7/26/202411计算机系统安全原理与技术(第2版)9.5 安全风险评估的依据和过程安全风险评估的依据和过程9.5.1 9.5.1 风险评估依据风险评估依据风险评估依据风险评估依据1 1)

18、政策法规。)政策法规。)政策法规。)政策法规。2 2)国际标准。)国际标准。)国际标准。)国际标准。3 3)国家标准。)国家标准。)国家标准。)国家标准。4 4)行业通用标准。)行业通用标准。)行业通用标准。)行业通用标准。5 5)其他。)其他。)其他。)其他。7/26/202412计算机系统安全原理与技术(第2版)9.5 安全风险评估的依据和过程安全风险评估的依据和过程9.5.2 9.5.2 风险要素风险要素风险要素风险要素7/26/202413计算机系统安全原理与技术(第2版)9.5 安全风险评估的依据和过程安全风险评估的依据和过程9.5.3 9.5.3 风险评估过程风险评估过程风险评估过

19、程风险评估过程7/26/202414计算机系统安全原理与技术(第2版)9.5 安全风险评估的依据和过程安全风险评估的依据和过程1 1风险评估准备风险评估准备风险评估准备风险评估准备风险评估准备是整个风险评估过程有效性的保证。在风险评估准备是整个风险评估过程有效性的保证。在风险评估准备是整个风险评估过程有效性的保证。在风险评估准备是整个风险评估过程有效性的保证。在正式进行风险评估之前,阻止应该制定一个有效的风正式进行风险评估之前,阻止应该制定一个有效的风正式进行风险评估之前,阻止应该制定一个有效的风正式进行风险评估之前,阻止应该制定一个有效的风险评估计划,确定安全风险评估的目标、范围,建立险评估

20、计划,确定安全风险评估的目标、范围,建立险评估计划,确定安全风险评估的目标、范围,建立险评估计划,确定安全风险评估的目标、范围,建立相关的组织机构,并选择系统性的安全风险评估方法相关的组织机构,并选择系统性的安全风险评估方法相关的组织机构,并选择系统性的安全风险评估方法相关的组织机构,并选择系统性的安全风险评估方法来收集风险评估所需的信息和数据。具体主要包括以来收集风险评估所需的信息和数据。具体主要包括以来收集风险评估所需的信息和数据。具体主要包括以来收集风险评估所需的信息和数据。具体主要包括以下内容。下内容。下内容。下内容。1 1)确定风险评估的目标。)确定风险评估的目标。)确定风险评估的目

21、标。)确定风险评估的目标。2 2)确定风险评估的范围。)确定风险评估的范围。)确定风险评估的范围。)确定风险评估的范围。3 3)组建适当的评估管理与实施团队。)组建适当的评估管理与实施团队。)组建适当的评估管理与实施团队。)组建适当的评估管理与实施团队。4 4)进行系统调研。)进行系统调研。)进行系统调研。)进行系统调研。5 5)确定评估依据和方法。)确定评估依据和方法。)确定评估依据和方法。)确定评估依据和方法。6 6)制定风险评估方案。)制定风险评估方案。)制定风险评估方案。)制定风险评估方案。7 7)获得最高管理者对风险评估工作的支持。)获得最高管理者对风险评估工作的支持。)获得最高管理

22、者对风险评估工作的支持。)获得最高管理者对风险评估工作的支持。7/26/202415计算机系统安全原理与技术(第2版)9.5 安全风险评估的依据和过程安全风险评估的依据和过程2 2资产识别资产识别资产识别资产识别在这一过程中确定信息系统的资产,并明确资产的价在这一过程中确定信息系统的资产,并明确资产的价在这一过程中确定信息系统的资产,并明确资产的价在这一过程中确定信息系统的资产,并明确资产的价值。资产是组织值。资产是组织值。资产是组织值。资产是组织( (企业、机构企业、机构企业、机构企业、机构) )赋予了价值因而需要保赋予了价值因而需要保赋予了价值因而需要保赋予了价值因而需要保护的东西。资产的

23、确认应当从关键业务开始,最终覆护的东西。资产的确认应当从关键业务开始,最终覆护的东西。资产的确认应当从关键业务开始,最终覆护的东西。资产的确认应当从关键业务开始,最终覆盖所有的关键资产。在确定资产时一定要防止遗漏,盖所有的关键资产。在确定资产时一定要防止遗漏,盖所有的关键资产。在确定资产时一定要防止遗漏,盖所有的关键资产。在确定资产时一定要防止遗漏,划入风险评估范围的每一项资产都应该被确认和评估。划入风险评估范围的每一项资产都应该被确认和评估。划入风险评估范围的每一项资产都应该被确认和评估。划入风险评估范围的每一项资产都应该被确认和评估。1 1)资产分类。)资产分类。)资产分类。)资产分类。2

24、 2)资产赋值。)资产赋值。)资产赋值。)资产赋值。7/26/202416计算机系统安全原理与技术(第2版)9.5 安全风险评估的依据和过程安全风险评估的依据和过程3 3威胁识别威胁识别威胁识别威胁识别在这一步骤中,组织应该识别每项在这一步骤中,组织应该识别每项在这一步骤中,组织应该识别每项在这一步骤中,组织应该识别每项( (类类类类) )资产可能面临资产可能面临资产可能面临资产可能面临的威胁。安全威胁是一种对组织及其资产构成潜在破的威胁。安全威胁是一种对组织及其资产构成潜在破的威胁。安全威胁是一种对组织及其资产构成潜在破的威胁。安全威胁是一种对组织及其资产构成潜在破坏的可能性因素或者事件。无

25、论对于多么安全的信息坏的可能性因素或者事件。无论对于多么安全的信息坏的可能性因素或者事件。无论对于多么安全的信息坏的可能性因素或者事件。无论对于多么安全的信息系统,安全威胁时一个客观存在的事实,它是风险评系统,安全威胁时一个客观存在的事实,它是风险评系统,安全威胁时一个客观存在的事实,它是风险评系统,安全威胁时一个客观存在的事实,它是风险评估的重要因素之一。估的重要因素之一。估的重要因素之一。估的重要因素之一。1 1)威胁分类。)威胁分类。)威胁分类。)威胁分类。2 2)威胁赋值。)威胁赋值。)威胁赋值。)威胁赋值。7/26/202417计算机系统安全原理与技术(第2版)9.5 安全风险评估的

26、依据和过程安全风险评估的依据和过程4 4脆弱性识别脆弱性识别脆弱性识别脆弱性识别光有威胁还构不成风险,威胁只有利用了特定的弱点光有威胁还构不成风险,威胁只有利用了特定的弱点光有威胁还构不成风险,威胁只有利用了特定的弱点光有威胁还构不成风险,威胁只有利用了特定的弱点才可能对资产造成影响,所以,组织应该针对每一项才可能对资产造成影响,所以,组织应该针对每一项才可能对资产造成影响,所以,组织应该针对每一项才可能对资产造成影响,所以,组织应该针对每一项需要保护的信息资产,找到可被威胁利用的脆弱点,需要保护的信息资产,找到可被威胁利用的脆弱点,需要保护的信息资产,找到可被威胁利用的脆弱点,需要保护的信息

27、资产,找到可被威胁利用的脆弱点,并对脆弱性的严重程度进行评估,即对脆弱性被威胁并对脆弱性的严重程度进行评估,即对脆弱性被威胁并对脆弱性的严重程度进行评估,即对脆弱性被威胁并对脆弱性的严重程度进行评估,即对脆弱性被威胁利用的可能性进行评估,最终为其赋予相对等级值。利用的可能性进行评估,最终为其赋予相对等级值。利用的可能性进行评估,最终为其赋予相对等级值。利用的可能性进行评估,最终为其赋予相对等级值。1 1)脆弱性识别内容。)脆弱性识别内容。)脆弱性识别内容。)脆弱性识别内容。2 2)脆弱性赋值。)脆弱性赋值。)脆弱性赋值。)脆弱性赋值。7/26/202418计算机系统安全原理与技术(第2版)9.

28、5 安全风险评估的依据和过程安全风险评估的依据和过程5 5已有安全控制措施确认已有安全控制措施确认已有安全控制措施确认已有安全控制措施确认在影响威胁发生的外部条件中,除了资产的错弱点外,在影响威胁发生的外部条件中,除了资产的错弱点外,在影响威胁发生的外部条件中,除了资产的错弱点外,在影响威胁发生的外部条件中,除了资产的错弱点外,另一个就是组织现有的安全措施。识别已有的另一个就是组织现有的安全措施。识别已有的另一个就是组织现有的安全措施。识别已有的另一个就是组织现有的安全措施。识别已有的( (或已计或已计或已计或已计划的划的划的划的) )安全控制措施,分析安全措施的效力,确定威胁安全控制措施,分

29、析安全措施的效力,确定威胁安全控制措施,分析安全措施的效力,确定威胁安全控制措施,分析安全措施的效力,确定威胁利用弱点的实际可能性,一方面可以指出当前安全措利用弱点的实际可能性,一方面可以指出当前安全措利用弱点的实际可能性,一方面可以指出当前安全措利用弱点的实际可能性,一方面可以指出当前安全措施的不足,另一方面也可以避免重复投资。施的不足,另一方面也可以避免重复投资。施的不足,另一方面也可以避免重复投资。施的不足,另一方面也可以避免重复投资。安全控制措施可以分为:安全控制措施可以分为:安全控制措施可以分为:安全控制措施可以分为:管理性管理性管理性管理性( (Administrative)Adm

30、inistrative)操作性操作性操作性操作性( (Operational)Operational)技术性技术性技术性技术性( (Technical)Technical)威慑性威慑性威慑性威慑性( (Deterrent)Deterrent)预防性预防性预防性预防性( (Preventive)Preventive)检测性检测性检测性检测性( (Detective)Detective)纠正性纠正性纠正性纠正性( (Corrective)Corrective)7/26/202419计算机系统安全原理与技术(第2版)9.5 安全风险评估的依据和过程安全风险评估的依据和过程6 6风险分析风险分析风险分

31、析风险分析7/26/202420计算机系统安全原理与技术(第2版)9.5 安全风险评估的依据和过程安全风险评估的依据和过程7 7风险评估文档记录风险评估文档记录风险评估文档记录风险评估文档记录风险评估文档是指在整个风险评估过程中产生的评估风险评估文档是指在整个风险评估过程中产生的评估风险评估文档是指在整个风险评估过程中产生的评估风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档,包括过程文档和评估结果文档,包括过程文档和评估结果文档,包括过程文档和评估结果文档,包括( (但不仅限于此但不仅限于此但不仅限于此但不仅限于此) ):风险评估方案风险评估方案风险评估方案风险评估方案风

32、险评估程序风险评估程序风险评估程序风险评估程序资产识别清单资产识别清单资产识别清单资产识别清单重要资产清单重要资产清单重要资产清单重要资产清单威胁列表威胁列表威胁列表威胁列表脆弱性列表脆弱性列表脆弱性列表脆弱性列表已有安全措施确认表已有安全措施确认表已有安全措施确认表已有安全措施确认表风险评估报告风险评估报告风险评估报告风险评估报告风险处理计划风险处理计划风险处理计划风险处理计划风险评估记录风险评估记录风险评估记录风险评估记录7/26/202421计算机系统安全原理与技术(第2版)9.6 信息系统安全风险的评估实例信息系统安全风险的评估实例1.1.风险的评判风险的评判风险的评判风险的评判2.2

33、.风险事件发生的概率风险事件发生的概率风险事件发生的概率风险事件发生的概率PsPs3.3.风险事件发生后影响程度风险事件发生后影响程度风险事件发生后影响程度风险事件发生后影响程度CsCs的的的的模糊综合评判模糊综合评判模糊综合评判模糊综合评判4.4.风险度风险度风险度风险度RsRs的计算的计算的计算的计算5.5.案例案例案例案例7/26/202422计算机系统安全原理与技术(第2版)思考与练习思考与练习1 1请谈谈计算机信息系统安全风险评估在信请谈谈计算机信息系统安全风险评估在信请谈谈计算机信息系统安全风险评估在信请谈谈计算机信息系统安全风险评估在信息安全建设中的地位和重要意义。息安全建设中的

34、地位和重要意义。息安全建设中的地位和重要意义。息安全建设中的地位和重要意义。2 2简述在风险评估时从哪些方面来收集风险简述在风险评估时从哪些方面来收集风险简述在风险评估时从哪些方面来收集风险简述在风险评估时从哪些方面来收集风险评估的数据。评估的数据。评估的数据。评估的数据。3 3简述运用模糊综合评估法对信息系统进行简述运用模糊综合评估法对信息系统进行简述运用模糊综合评估法对信息系统进行简述运用模糊综合评估法对信息系统进行风险评估的基本过程。风险评估的基本过程。风险评估的基本过程。风险评估的基本过程。4 4参考其他文献,列举其他对信息系统进行参考其他文献,列举其他对信息系统进行参考其他文献,列举

35、其他对信息系统进行参考其他文献,列举其他对信息系统进行安全风险评估的方法,比较它们的优缺点,并安全风险评估的方法,比较它们的优缺点,并安全风险评估的方法,比较它们的优缺点,并安全风险评估的方法,比较它们的优缺点,并选择一种评估方法对本单位选择一种评估方法对本单位选择一种评估方法对本单位选择一种评估方法对本单位( (学校、院系学校、院系学校、院系学校、院系) )的系的系的系的系统安全作一次风险评估。统安全作一次风险评估。统安全作一次风险评估。统安全作一次风险评估。7/26/202423计算机系统安全原理与技术(第2版)思考与练习思考与练习5 5请访问中国信息安全风险评估论坛请访问中国信息安全风险

36、评估论坛请访问中国信息安全风险评估论坛请访问中国信息安全风险评估论坛( (http:/www.http:/www.cisrafcisraf. cn/)/)、国国国国家信息中心信息安全风险评估网家信息中心信息安全风险评估网家信息中心信息安全风险评估网家信息中心信息安全风险评估网http:/www.http:/www.israisra. cn/ /,了解更了解更了解更了解更多安全风险评估理论与技术的进展。多安全风险评估理论与技术的进展。多安全风险评估理论与技术的进展。多安全风险评估理论与技术的进展。6 6操作实验:操作实验:操作实验:操作实验:NessusNessus安全扫描工具使用。实安全扫描工具使用。实安全扫描工具使用。实安全扫描工具使用。实验内容:安装验内容:安装验内容:安装验内容:安装NessusNessus软件;扫描的配置;分软件;扫描的配置;分软件;扫描的配置;分软件;扫描的配置;分析扫描报告;使用软件的附带工具。析扫描报告;使用软件的附带工具。析扫描报告;使用软件的附带工具。析扫描报告;使用软件的附带工具。7/26/202424计算机系统安全原理与技术(第2版)

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 研究生课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号